martes, 26 de mayo de 2015

Cómo fallan los Sistemas Complejos.

Esta nota es una reedición de uno de los artículos más notables que he encontrado sobre cómo y por qué todos los sistemas complejos, finalmente fallan. Es papel muy breve -apenas 18 puntos- y muy legible. Cuando haya terminado de leerlo, usted podrá entender más claramente por qué estoy totalmente convencido de que la Civilización Tecnoindustrial Global va a desmoronarse en algún momento.

La caída probablemente vendrá más pronto que tarde, a pesar de que como deja claro el artículo, la naturaleza de los sistemas complejos hace que sea imposible predecir dónde, cuándo o cómo tendrá lugar la ruptura. A pesar de esa limitación epistemológica, la aparición de grandes amenazas como la inestabilidad climática y la quiebra financiera nos están dando muy buenas pistas ...

 
El documento fue escrito por un médico cuya principal preocupación eran los sistemas de atención al paciente. Sin embargo, es lo suficientemente general como para aplicarlo plenamente a todos los sistemas complejos. A pesar de que en general considera sistemas mucho más pequeños que la civilización mundial, los puntos que muestra son aplicables a sistemas de cualquier escala.

La misma complejidad de la civilización, junto con el hecho de que ninguna persona o agencia por sí sola es "responsable" de la conducta de todo el sistema (lo que torna la acción correctiva difícil o imposible), hace que sea más propensa al fracaso e incluso lo hace inevitable por todos los motivos que explica.

-Paul Chefurka



 


Cómo Caen los Sistemas Complejos

(Pequeño tratado sobre la naturaleza de la insuficiencia; Cómo se evalúa el fallo, Cómo el fallo se atribuye a una causa próxima, y la Nueva Comprensión resultante de la Seguridad del Paciente)


Dr. Richard I.Cook

Laboratorio de Tecnologías Cognitivas
Universidad de Chicago.



1) Los sistemas complejos son sistemas intrínsecamente peligrosos.

Todos los sistemas de interés (por ejemplo, transporte, salud, generación de energía) son inherente e inevitablemente peligrosos por su propia naturaleza. La frecuencia de la exposición al riesgo a veces puede cambiarse, pero los procesos que intervienen en el sistema son ellos mismos intrínseca e irreductiblemente peligrosos. Es la presencia de estos peligros la que impulsa la creación de defensas contra el peligro que caracterizan a estos sistemas.



2) Los sistemas complejos están fuerte y exitosamente defendidos contra el fracaso.

Las graves consecuencias del fracaso conducen a que en el tiempo sean construidas múltiples capas de defensa contra el fracaso. Estas defensas incluyen componentes técnicos obvios (por ejemplo, sistemas de seguridad de apoyo, protocolos de “seguridad” en los equipos técnicos y humanos (p.ej. formación y conocimiento), sino también una variedad de defensas organizacionales, institucionales y reguladoras (p.ej. políticas y procedimientos, normas de certificación, de trabajo, entrenamiento del equipo). El efecto de estas medidas es proporcionar una serie de escudos que normalmente desvían las operaciones lejos de los accidentes.


 
3) Las catástrofes requieren múltiples fracasos - fallos puntuales no son suficientes.

La batería de defensas funciona. Las operaciones del sistema son generalmente exitosas. El fallo abiertamente catastrófico se produce cuando pequeños fracasos, aparentemente inocuos se unen creando oportunidades para un accidente sistémico. Todos y cada uno de estos pequeños fracasos son necesarios para causar una catástrofe pero sólo la combinación de todos ellos es suficiente para permitir el fracaso. Dicho de otra manera, hay muchas más oportunidades de fracaso que accidentes generales del sistema. La mayoría de las trayectorias iniciales de fracaso son bloqueadas por los componentes de seguridad del sistema diseñados. Las trayectorias que alcanzan el nivel operativo son en su mayoría bloqueadas, por lo general por los médicos.
4) Los sistemas complejos contienen en sí mismos mezclas cambiantes de fallos latentes.

La complejidad de estos sistemas hace que sea imposible que funcionen sin la presencia de múltiples defectos. Debido a que estos son individualmente insuficientes para causar un fallo son considerados como factores de menor importancia durante las operaciones. La erradicación de todos los fallos latentes está limitada principalmente por el coste económico, pero también porque es difícil ver anticipadamente cómo estos fallos podrían contribuir a un accidente antes de que tenga lugar. Los fallos cambian constantemente debido a la evolución de la tecnología, la organización del trabajo, y los esfuerzos para erradicar los fallos.





5) Los sistemas complejos se ejecutan en modo degradado.

Un corolario del punto anterior es que los sistemas complejos funcionan como sistemas rotos. El sistema sigue funcionando por contener tantas redundancias y porque la gente puede hacer que funcione a pesar de la presencia de muchos defectos. Después de una revisión de los accidentes casi siempre se cae en la cuenta de que el sistema tiene una historia de “protoaccidentes” anteriores que casi habían generado una catástrofe. Los argumentos sobre que estas condiciones degradadas deberían haber sido reconocidas antes de un accidente por lo general se basan en nociones ingenuas de rendimiento del sistema. Las operaciones del sistema son dinámicas, con componentes (organizacionales, humanos, técnicos) que fallan y que están siendo reemplazados continuamente.

 


6) La catástrofe está siempre a la vuelta de la esquina.

Los sistemas complejos poseen el potencial de fallo catastrófico. Los médicos están casi siempre en estrecha proximidad física y temporal de estos fallos potenciales -el desastre puede ocurrir en cualquier momento y en casi cualquier lugar-. El potencial para el resultado catastrófico es una característica de los sistemas complejos. Es imposible eliminar la posibilidad de tales fallos catastróficos; la posibilidad de dichos fallos está siempre presente por la propia naturaleza del sistema.

 


7) La atribución post-accidente a una "causa raíz" del accidente es fundamentalmente errónea.

Debido a la insuficiencia manifiesta requiere múltiples fallos, no hay "causa" aislada de un accidente. Existen múltiples contribuyentes a los accidentes. Cada uno de ellos es necesario pero insuficiente en sí mismo para crear un accidente. Sólo de manera conjunta son estas causas suficientes para crear un accidente. De hecho, es la vinculación de estas causas juntas la que crea las circunstancias requeridas para el accidente. Por lo tanto, ningún aislamiento de la 'causa' de un accidente es posible. Las evaluaciones basadas en tal razonamiento como “causa raíz” no reflejan una comprensión técnica de la naturaleza del fallo, sino más bien la necesidad social y cultural de culpar por los resultados a fuerzas específicas, localizadas o a eventos.

 


8) Sesgos retrospectivos en las evaluaciones post-accidente de la actuación humana.

El conocimiento de los resultados hace que los eventos que condujeron a los resultados deberían haber parecido más llamativos para los profesionales en el momento en que se presentaba el caso. Esto significa que el análisis postfacto del desempeño humano en el accidente es incorrecto. El conocimiento del resultado envenena la capacidad de los observadores después del accidente para recrear la visión que los profesionales tenían de esos mismos factores antes del accidente. Parece que los médicos "deberían haber sabido" que los factores desencadenarían "inevitablemente" un accidente (2) El sesgo de retrospección sigue siendo el principal obstáculo para la investigación de accidentes, sobre todo cuando hay desempeños de expertos humanos involucrados.


9) Los operadores humanos tienen doble función: como productores y como defensores contra el fracaso.

Los médicos del sistema lo operan con el fin de producir el resultado deseado y también trabajan para evitar accidentes. Esta cualidad dinámica de la operación del sistema, el equilibrio de las demandas de la producción frente a la posibilidad de fracaso incipiente es inevitable. Los no iniciados rara vez reconocen la dualidad de este papel. En tiempos sin accidentes, se destaca el papel de la producción. Tras los accidentes, el papel de la defensa contra fracaso se acentúa. En cada momento, la opinión de la persona ajena subestima constantemente la participación simultánea del operador en ambos roles.



10) Todas las acciones de los médicos son apuestas.

Después de los accidentes, el fracaso manifiesto aparenta a menudo haber sido inevitable al igual que las acciones del médico se presentan como errores o indiferencia intencional deliberada hacia cierto fracaso inminente. Pero todas las acciones del médico son en realidad apuestas, es decir, actos que tienen lugar frente a resultados inciertos. El grado de incertidumbre puede cambiar de un momento a otro. Después de los accidentes parece claro que las acciones del facultativo eran apuestas, el análisis post hoc suele considerar pobres estas apuestas. Pero lo contrario -que los resultados exitosos son también el resultado de apuestas- no es ampliamente apreciado.


 
11) Las acciones al filo extremo resuelven toda ambigüedad.

Las organizaciones son ambiguas -a menudo intencionadamente- sobre la relación entre los objetivos de producción, el uso eficiente de los recursos, la economía y los costos de las operaciones y los riesgos aceptables de accidentes de bajas y altas consecuencias. Toda ambigüedad se resuelve por las acciones de los profesionales en la punta de lanza del sistema. Después de un accidente, las acciones de los facultativos pueden ser considerados como "errores" o "violaciones" pero estas evaluaciones están fuertemente sesgadas por la retrospección e ignoran las otras fuerzas de conducción, especialmente la presión de producción.





12) Los médicos son el elemento adaptable de los sistemas complejos.

Los profesionales en primera línea de gestión adaptan de forma activa el sistema para maximizar la producción y minimizar los accidentes. Estas adaptaciones a menudo se producen de momento a momento. Algunas de estas adaptaciones incluyen: (1) La reestructuración del sistema con el fin de reducir la exposición de las partes vulnerables al fracaso. (2) La concentración de los recursos críticos en zonas de alta demanda esperada. (3) Proporcionar vías de retirada o recuperación de fallos esperados e inesperados. (4) El establecimiento de medios para la detección temprana del rendimiento del sistema modificado con el fin de permitir acertados recortes en la producción u otros medios para aumentar la resiliencia.





13) La habilidad humana en sistemas complejos está en constante cambio.

Los sistemas complejos requieren habilidad humana sustancial en su operación y administración. Esta habilidad cambia de carácter a medida que la tecnología cambia, pero también cambia debido a la necesidad de reemplazar a los expertos que cesan. En todos los casos, la formación y el perfeccionamiento de la habilidad y la experiencia es una parte de la función del sistema en sí. En cualquier momento, por lo tanto, un sistema complejo dado contendrá facultativos y aprendices con diferentes grados de especialización. Cuestiones críticas relacionadas con la experiencia surgen a partir de (1) la necesidad de utilizar los escasos conocimientos como un recurso para las necesidades de producción más difíciles o exigentes y (2) la necesidad de desarrollar conocimientos para uso futuro.





14) El cambio introduce nuevas formas de insuficiencia.

La baja tasa de accidentes manifiestos en sistemas fiables puede alentar a los cambios, especialmente el uso de las nuevas tecnologías, para disminuir el número de fallos de baja consecuencia, pero de alta frecuencia. Estos cambios puede que en realidad creen oportunidades para nuevos fallos de baja frecuencia pero de altas consecuencias. Cuando se utilizan las nuevas tecnologías para eliminar los fallos bien entendidos del sistema o para obtener un rendimiento de alta precisión a menudo introducen nuevas vías para fallos catastróficos a gran escala. No es raro que estas nuevas, catástrofes raras tienen un impacto aún mayor que los fallos eliminados por la nueva tecnología. Estas nuevas formas de fracaso son difíciles de ver antes de que tengan lugar; se presta atención principalmente a las características beneficiosas putativas de los cambios. Debido a que estos nuevos accidentes de altas consecuencias se producen a una velocidad baja y a que pueden llevarse a cabo múltiples cambios de sistema antes de un accidente, es difícil ver la contribución de la tecnología al fracaso.







15) Las visiones de la "causa" limitan la eficacia de las defensas contra futuros eventos.

Los remedios post-accidentes para "errores humanos" por lo general se basan en obstruir las actividades que pueden ser “causa” de los accidentes. Estas medidas al final de la cadena sirven de poco para reducir la probabilidad de nuevos accidentes. De hecho la probabilidad de un accidente idéntico ya es extraordinariamente baja debido a que el patrón de fallos latentes cambia constantemente. En lugar de aumentar la seguridad, los remedios post-accidentes suelen aumentar el acoplamiento y la complejidad del sistema. Esto aumenta el número potencial de fallos latentes y también hace más difícil la detección y bloqueo de las trayectorias de accidentes.


16) La seguridad es una característica de los sistemas y no de sus componentes

La seguridad es una propiedad emergente de los sistemas; no reside en una persona, dispositivo o departamento de una organización o sistema. La seguridad no puede ser comprada o fabricada; no es una característica independiente de los otros componentes del sistema. Esto significa que la seguridad no puede ser manipulada como una mercancía o materia prima. El estado de la seguridad en cualquier sistema es siempre dinámico; el cambio sistémico continuo asegura que el riesgo y su gestión están en constante cambio.


17) La gente crea continuamente seguridad.

Las operaciones libres de fallo son el resultado de las actividades de las personas que trabajan para mantener el sistema dentro de los límites del rendimiento tolerable. Estas actividades son en gran medida parte de las operaciones normales y superficialmente sencillas. Pero debido a que las operaciones del sistema no están siempre libres de problemas, las adaptaciones de los operadores humanos a las condiciones cambiantes en realidad crean la seguridad de instante en instante. Estas adaptaciones a menudo equivalen a sólo la selección de una rutina ensayada de una batería de respuestas disponibles; A veces, sin embargo, las adaptaciones son nuevas combinaciones o creaciones a partir de nuevos enfoques.



18) Las operaciones libres de fallos requieren experiencia con el fracaso.

El reconocimiento del peligro y la manipulación exitosa de las operaciones del sistema manteniéndolo dentro de los límites tolerables de rendimiento requiere contacto íntimo con el fracaso. Una operación del sistema de rendimiento más robusta es probable que surja en los sistemas donde los operadores puedan discernir el "borde del precipicio". Aquí es donde el rendimiento del sistema comienza a deteriorarse, se vuelve difícil de predecir, o no se puede recuperar fácilmente. En los sistemas intrínsecamente peligrosos, se espera que los operadores encuentren y aprecien los peligros de los caminos que conducen a los resultados globales deseables. La mejora de la seguridad depende de que se provea a los operadores de evaluaciones calibradas de los peligros. También depende de proporcionar la calibración sobre cómo sus acciones acercan o alejan del borde del precipicio al sistema.


 





 

Otros materiales:
-Cook, Render, Woods (2000). Gaps in the continuity of care and progress on patient safety. British Medical Journal 320: 791-4.
-Cook (1999). A Brief Look at the New Look in error, safety, and failure of complexsystems. (Chicago: CtL).
-Woods & Cook (1999). Perspectives on Human Error: Hindsight Biases and LocalRationality. In Durso, Nickerson, et al., eds., Handbook of Applied Cognition. (NewYork: Wiley) pp. 141-171.
-Woods & Cook (1998). Characteristics of Patient Safety: Five Principles that UnderlieProductive Work. (Chicago: CtL)
-Cook & Woods (1994), “Operating at the Sharp End: The Complexity of Human Error,”in MS Bogner, ed., Human Error in Medicine, Hillsdale, NJ; pp. 255-310.
-Woods, Johannesen, Cook, & Sarter (1994), Behind Human Error: Cognition, Computers andHindsight, Wright Patterson AFB: CSERIAC.

No hay comentarios:

Publicar un comentario